0

PROJET PERSONNEL ENCADRE 1.3

Partie juridique



















BELLAZAAR Rayane
Corizzi Lucas
DU BOISHAMON Arnaud
PICO Alexandre












Table des matires
INTRODUCTION ..................................................................................................................................................................... 1
PREMIERE PARTIE : LES DONNEES A CARACTERE PERSONNELLES ET LA CNIL .................................................................... 1 - 8
LES DONNEES A CARACTERE PERSONNELLES ..................................................................................................................................... 1 - 2
LA COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTES (CNIL) ................................................................................................ 2
LE ROLE DE LA COMMISSION NATIONALE DE LINFORMATIQUE ET DES LIBERTES (CNIL) .................................................................................2
LES DROITS DES PERSONNES SUR LEURS DONNEES PERSONNELLES ........................................................................................................ 3 - 8
SECONDE PARTIE : LA DECLARATION NORMALE DE LA CNIL ........................................................................................... 9 - 11
TROISIEME PARTIE : EVOLUTION DE LA BASE DE DONNEES ......................................................................................... 12 - 15
CONCLUSION ....................................................................................................................................................................... 16
GRILLE D'ANALYSE DES DOCUMENTS ........................................................................................................................... 17 19
ANNEXES (DECLARATIONS + AUTORISATION) ................................................................................................................... 20 - ?







1



Introduction


Afin de garantir une gestion optimale des visites ralises par ses visiteurs mdicaux, le
laboratoire Galaxy Swiss Bourdin a fait appel nos services pour la mise en place de sa nouvelle
base de donnes. Lquipe juridique tant absente lors de la ralisation du projet, Galaxy Swiss
Bourdin nous a demand de prendre en charge tous les lments lis la protection des donnes
qui sont inscrites dans la nouvelle base de donnes en se rfrant, la loi Informatique et Liberts
du 6 Janvier 1978 ayant t rform par la loi du 6 Aot 2004.

Cest travers un projet stendant sur une dure dun mois que nous vous expliquerons chaque
phases qui permettront la dclaration de la nouvelle base de donnes de GSB auprs de la
Commission nationale de l'informatique et des liberts (CNIL).


I. Premire partie : Les donnes caractre personnel et la CNIL.

Laloiinformatiqueetlibertsdu6janvier1978(modifieenaot2004)dfinitlesprincipes
respecterlorsdelacollecte,dutraitementetdelaconservationdesinformationsrelatives
despersonnesphysiques.

a) Les donnes caractre personnel.

Daprs la loi du 6 janvier 1978 (relative linformatique, aux fichiers et aux liberts,) modifi par
la loi n2004-801 du 6 aot 2004 (relative la protection des personnes physiques lgard des
traitements de donnes caractre personnel), une donne caractre personnel est une
information relative une personne identifie, ou qui permet didentifier une personne physique,
directement grce son nom ou son prnom par exemple ou indirectement avec des informations
tel que le numro de tlphone ou bien le numro de plaque minralogique.

Les donnes ayant un caractre personnel sont :

Toutes les informations dont le recoupement permet didentifier une personne prcise
(exemple: lADN).

Les technologies de linformation et de la communication qui gnrent de nombreuses
donnes personnelles (exemple: une connexion internet)

Les traces informatiques facilement exploitables (exemple : les moteurs de recherche).

Les divers identifiants (exemple: les identifiants crer par ltat pour lidentification des
citoyens).



2



Dans le cadre de notre projet, le laboratoire Galaxy Swiss Bourdin possdent des donnes ayant un
caractre personnel. En effet dans la base de donnes nous auront accs aux noms, prnoms,
adresses, dates dembauches et numros de scurits sociales des visiteurs mdicaux. De plus, nous
aurons accs aux noms, adresses et diplmes des praticiens qui ne sont pas considr comme des
salaris du laboratoire pharmaceutique.


b) Commission nationale de l'informatique et des liberts (CNIL).

Cre par la loi n78-17 du 6 janvier 1978, Commission nationale de l'informatique et des
liberts (CNIL), est une autorit administrative indpendante compose de 17 membres :

4 parlementaires (2 dputs, 2 snateurs).
2 membres du Conseil conomique et social.
6 reprsentants des hautes juridictions (2 conseillers au Conseil d'tat, 2 conseillers la
Cour de cassation, 2 conseillers la Cour des comptes)
5 personnalits qualifies dsignes par le Prsident de lAssemble nationale
(1 personnalit), par le Prsident du Snat (1 personnalit), par le conseil des ministres (3
personnalits).

La CNIL lit son prsident parmi ses membres, elle ne reoit dinstruction daucune autorit et
dispose de son propre budget.


c) Le rle de la Commission nationale de l'informatique et des liberts (CNIL)

La Commission nationale de l'informatique et des liberts (CNIL), est charge de veiller ce
que linformatique ne porte atteinte ni lidentit humaine, ni aux droits de lhomme, ni la vie
prive, ni aux liberts individuelles ou publiques.

Elle a pour principales missions, dune part, de contrler que la mise en uvre de traitements
automatiss de donnes caractre personnel seffectue dans le respect des dispositions de la loi
informatique et liberts et dautre part, dinformer les personnes des droits et obligations qui leur
sont reconnus par la mme loi. La CNIL peut galement sanctionner tout abus ou pratiques
irrgulire par un avertissement, une mise en demeure ou encore une sanction financire. Dans le
cadre dun problme ayant un taux de gravit plus lev, elle peut saisir le parquet.








3


d) Les droits des personnes sur leurs donnes personnelles.

Le droit des donnes personnelles se dfinie comme l'ensemble des rgles qui permettent une
personne physique d'exercer un contrle sur lutilisation des ses donnes personnelles par autrui.

La loi confre quatre types de droits aux personnes dont les donnes caractre personnel sont
collectes et/ou traites :

o Le droit l'information :

En vertu de l'article 32 de la loi du 6 janvier 1978, toute personne a le droit de savoir si elle est
fiche et dans quel fichier elle est recense.

Le responsable du traitement ou du fichier contenant des donnes caractre personnel doit,
fournir aux personnes concernes les informations suivantes :

L'identit du responsable du traitement.
L'objectif de la collecte d'informations.
Le caractre obligatoire ou facultatif des rponses.
Les consquences de l'absence de rponse.
Les destinataires des informations.
Les droits reconnus la personne.
Les ventuels transferts de donnes vers un pays hors de l'Union europenne.

En cas de prsence dun rseau informatique, les personnes doivent tre informes de l'emploi de
tmoins de connexion (cookies, variables de session...) et de la rcupration d'informations sur la
configuration de leurs ordinateurs (systmes d'exploitation).












4


Extrait de larticle 32 de la loi du 6 janvier 1978 :


























Source : http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/
5


o Le droit d'opposition

Le droit d'opposition est prvu l'article 38 de la loi du 6 janvier 1978. Il donne toute personne la
possibilit, pour des motifs lgitimes, de s'opposer figurer dans un fichier quelconque.

Le droit d'opposition se manifeste de plusieurs manires :

le refus de rpondre lors d'une collecte de donnes pour laquelle la rponse n'est pas
obligatoire.

Le refus de donner l'accord crit obligatoire pour le traitement de donnes sensibles.

la facult de demander la radiation des donnes contenues dans des fichiers commerciaux.

la possibilit d'interdire la cession ou la commercialisation des informations (gnralement
en cochant la case correspondante dans les formulaires de collecte).

Le droit d'opposition peut donc tre exerc au moment de la collecte des donnes en s'adressant
directement au responsable des fichiers collects.

Extrait de larticle 38 de la loi du 6 janvier 1978 :

Source : http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/











6


o Le droit d'accs

Le droit d'accs est prvu aux articles 39, 41 et 42 de la loi du 6 janvier 1978.

Ce droit permet toute personne justifiant de son identit d'interroger le responsable pour savoir
s'il dtient des informations la concernant, et, le cas chant, d'en obtenir communication.

La personne concerne peut s'informer sur divers points :

Les finalits du traitement.
Le type de donnes enregistres.
L'origine des donnes.
Les destinataires des donnes.
Les ventuels transferts vers des pays n'appartenant pas l'Union europenne.

L'exercice du droit d'accs permet le contrle de l'exactitude des donnes. Il peut tre limit dans
les cas suivants :

En cas de demande manifestement abusive (en cas de contentieux, le responsable du
traitement devra apporter la preuve du caractre abusif) ;

Lorsque les donnes sont conserves sous une forme ne prsentant aucun risque d'atteinte
la vie prive et pendant une dure n'excdant pas celle ncessaire l'tablissement de
statistiques ou la recherche scientifique ou historique ;

En cas d'atteinte au droit d'auteur, le droit d'accs est exerc directement auprs de l'entit
qui dtient les informations.
















7

Extrait de larticle 39 de la loi du 6 janvier 1978 :






















Extrait de larticle 41 de la loi du 6 janvier 1978 :












Extrait de larticle 41 de la loi du 6 janvier 1978 :
8

o Le droit daccs indirect

Le droit daccs indirect est une procdure spcifique qui concerne :
Les fichiers intressant la sret de lEtat, la dfense et la scurit publique
Le fichier des comptes bancaires FICOBA dtenu par l'administration fiscale.
o Le droit de rectification

Prvu par l'article 40 de la loi du 6 janvier 1978 modifie, le droit de rectification permet toute
personne de :
Rectifier
Complter
Actualiser
Verrouiller
Effacer

Les informations la concernant lorsque des erreurs ou des inexactitudes ont t dceles ou que la
collecte, l'utilisation, la communication ou la conservation de ces donnes est interdite.

Pour exercer ce droit, il faut crire l'organisme qui dtient les informations.

Celui-ci doit prouver qu'il a bien effectu les rectifications demandes et notifier ces dernires aux
tiers qui les donnes errones auraient t transmises.

La personne qui exerce son droit de rectification peut obtenir gratuitement une copie de
l'enregistrement modifi.

Afin de permettre la personne dont les donnes sont collectes d'exercer ses droits, il est
ncessaire de mettre en place, au sein de l'entreprise, un service d'accs l'information.

Le non-respect de ces droits est pnalement sanctionn au titre des articles 226-16 et suivants du
Code pnal.

Les infractions prvues ces articles sont constitutives de dlits (jusqu' cinq ans
d'emprisonnement et 300 000 euros d'amende).













9




II. Seconde partie : La dclaration normale de la CNIL.


Dfinition : La Dclaration normale est la procdure la plus courante, applicable la majorit des
traitements qui ne soulvent pas de difficults au regard de la protection des liberts
fondamentales.

Qui est le responsable du traitement ?
Le responsable du traitement, est la personne ou lorganisme qui dcide de dclarer une base de donnes
auprs de la CNIL qui fera l'objet d'un traitement informatis.
Au moment de remplir la dclaration normale de la CNIL, il faudra renseigner les informations
suivantes :
Lidentification du dclarant
Le service ou la personne charge du traitement
La finalit du traitement
Les personnes concernes par le traitement
Les technologies utilises pour le traitement
Le type dinformations personnelles collectes :

Les donnes classiques : tat civil, identit, vie personnelle, vie professionnelle,
informations financires, donnes de connexion informatique, donnes de
localisation

Les donnes sensibles : numro de scurit sociale, opinions, vie sexuelle, origine
raciale ou ethnique etc.

Comment les donnes sont collectes
La dure de conservation des donnes
Le ou les destinataires des donnes
Les changes et interconnexions de donnes
La scurit et confidentialit des donnes
Les transferts de donnes hors de lUnion europenne
Les informations sur les droits des personnes (accs, opposition, rectification)
Dans notre cas, il faudra remplir deux dclarations diffrentes, une pour les visiteurs mdicaux qui
sont considr comme des salaris du laboratoire pharmaceutique et une seconde pour les
praticiens qui sont des partenaires externes lentreprise (cf annexes 1 et 2).

Une fois les dclarations faites, on pourra procder la collecte des informations auprs des
personnes concernes qui au pralable ont t prvenu par courrier ou bien par mail.


Exemple de mail et de formulaire envoyer aux salaris :


10


Bonjour,

Dans le cadre d'un traitement obligatoire informatis destin optimiser la gestion des visites
ralises auprs des professionnels de sant, merci de bien vouloir remplir le formulaire ci-joint au
mail et de nous le faire parvenir dans les meilleurs dlais.

Nous restons votre disposition pour tout renseignement complmentaire.
Dans l'attente de votre retour,

Cordialement
--
Service Juridique
Laboratoire Galaxy Swiss Bourdin

Formulaire dinformations personnelles pour le traitement
informatis

Veuillez remplir ce formulaire de demande avec toutes les informations ncessaires.

1. Informations personnelles
Donnes personnelles du visiteur mdicale
Nom :
Prnom :
Adresse (n et la rue) :
Code postal :
Ville :
Date dembauche :
N de scurit social :

Les informations portes sur ce formulaire sont obligatoires. Elles font lobjet dun traitement
informatis destin la gestion des visites mdicales ralises auprs des professionnels de sant.
Les destinataires des donnes sont le service juridique et la direction des ressources humaines.
Conformment la loi "informatique et liberts" du 6 janvier 1978 modifie, vous bnficiez dun
droit daccs et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce
droit et obtenir communication des informations vous concernant, veuillez vous adresser au
responsable du service juridique.

11


Remarque : Le laboratoire Galaxy Swiss Bourdin a collect le numro de scurit sociale de tous
les visiteurs mdicaux. Ces numros, sont considrs comme des donnes sensibles par la
Commission nationale de l'informatique et des Liberts (CNIL). Pour pouvoir collecter un numro
de scurit sociale, il faut demander l'autorisation la CNIL par le biais dun formulaire ainsi qu'a la
personne concerne (cf annexe 3).
Dclaration pour les visiteurs mdicaux :
Pour informer les personnes concernes par le traitement de leur droit d'accs, nous avons choisit
de mettre en place un affichage qui sera ajouter au rglement intrieur du laboratoire
pharmaceutique.
AFFICHAGE :
Le service DRH dispose de moyens informatiques destins grer plus facilement lensemble des
visites mdicales ralises par les visiteurs mdicaux.
Les informations enregistres sont rserves lusage de la DRH et du service juridique et ne
peuvent tre communiques quaux destinataires suivants : les responsables RH et la directrice du
service juridique. Conformment aux articles 39 et suivants de la loi n 78-17 du 6 janvier 1978
modifie, relative linformatique, aux fichiers et aux liberts, toute personne peut obtenir
communication et, le cas chant, rectification ou suppression des informations la concernant, en
sadressant au service juridique avec copie info.contact@cil.cnrs.fr.
Toute personne peut galement, pour des motifs lgitimes, sopposer au traitement des donnes la
concernant.
Dclaration pour les praticiens :
Gnralement, les praticiens savent dj que leur donnes personnels du type nom et adresse sont
collect par GSB. De ce fait, pour informer les personnes concernes par le traitement de leur droit
d'accs, nous avons choisit de mettre en place une mention lgale.

Exemple de mention lgale :
Le service juridique
Les informations recueillies font lobjet dun traitement informatique destin optimiser la gestion des
visites ralises par les visiteurs mdicaux. Les destinataires des donnes sont, la direction des ressources
humaines ainsi que le service juridique.
Conformment la loi informatique et liberts du 6 janvier 1978 modifie en 2004, vous bnficiez
dun droit daccs et de rectification aux informations qui vous concernent, que vous pouvez exercer en
vous adressant au service juridique du laboratoire Galaxy Swiss Bourdin Paris.
Vous pouvez galement, pour des motifs lgitimes, vous opposer au traitement des donnes vous
concernant.

12



III. Troisime partie : Evolution de la base de donnes.

Dans le cadre de notre projet nous avons procd une volution de la base de donnes en y
intgrant les diplmes des praticiens. En cas dajout ou de modification dune base de donnes il est
impratif de prvenir la CNIL pour procder aux divers changements.
Quelles sont les formalits ralis dans le cadre dune modification de la base de donnes ?
Si on souhaite modifier la base de donnes en y ajoutant des donnes supplmentaires qui
rpondent la finalit mentionn auparavant, il faudra adresser un courrier la Commission
nationale de l'informatique et des liberts (CNIL).
En revanche, si les nouvelles donnes conduisent une modification de la finalit de dpart, il
faudra adresser un courrier la CNIL et remplir une nouvelle dclaration normale en ligne ou sur
support papier.

Source de ces informations : Conversation tlphonique avec une conseillre de la CNIL
































13



COURRIER A ADRESSER A LA CNIL :

Laboratoire Galaxy Swiss Bourdin CNIL
N SIREN 8 rue Vivienne CS 30223
Adresse 75083 PARIS Cedex 02
Tl
Fax
Email : Service-juridique@lab-gsb.fr

Paris, le Mercredi 22 janvier 2014


Objet : Modification de la dclaration normale
N de la dclaration :

Madame, Monsieur,

Par la prsente, je souhaite vous faire part de la modification de la dclaration rfrence ci-dessus.

Lobjet de cette modification concerne les praticiens ou suite une volution de la base de donnes
nous souhaiterions rajouter les diplmes que possdent ces derniers.

Cette modification concerne la nature des donnes enregistres dans le traitement : nous aimerions
de ce fait ajouter des donnes concernant les qualifications des praticiens qui reoivent des visites
de la part des visiteurs mdicaux tant considrs comme des acteurs internes au laboratoire
pharmaceutique.

Lajout de ces nouvelles donnes rponde la mme finalit que celle mentionn dans la
dclaration normale qui est la gestion des visites mdicales.

Veuillez agrer, Madame, Monsieur, lexpression de mes salutations distingues.



Signature.










14


Une fois la modification de la dclaration normale faite, nous pouvons commencer collecter les
informations de qualification concernant les praticiens en leur envoyant une lettre suivi d'un
formulaire.

COURRIER A ADRESSER AUX PRATICIENS :

Laboratoire Galaxy Swiss Bourdin Nom du praticien
N SIREN Adresse du praticien
Adresse CP et Ville du praticien
Tl
Fax
Email : Service-juridique@lab-gsb.fr

Paris, le Mercredi 22 janvier 2014


Objet : Collecte des informations de qualifications.

Madame, Monsieur,

Dans le cadre d'une volution de notre base de donnes, qui fera l'objet d'un nouveau traitement
informatis destin optimiser la gestion des visites mdicales.

Merci de bien vouloir remplir le formulaire fournit en annexe puis, de nous le retourner par
courrier dans les meilleurs dlais.

Nous vous rappelons que les donnes collectes seront utilis uniquement des fins
professionnelles et que vous possdez des droits sur ces donnes qui sont clairement dfinis dans
la mention lgale qui vous t fournit auparavant.

Dans l'attente de votre retour, je vous prie d'agrer, Madame, Monsieur, l'expression de mes
salutations distingues.


Le service Juridique
Laboratoire Galaxy Swiss Bourdin







15


Formulaire dinformations personnelles pour le traitement
informatis

Veuillez remplir ce formulaire de demande avec toutes les informations ncessaires.

1. Informations personnelles
Donnes de qualification du praticien

Nom :
Prnom :






Rappel de vos droits :
Les informations portes sur ce formulaire sont obligatoires. Elles font lobjet dun traitement
informatis destin la gestion des visites mdicales ralises auprs des professionnels de sant.
Les destinataires des donnes sont le service juridique et la direction des ressources humaines.
Conformment la loi "informatique et liberts" du 6 janvier 1978 modifie, vous bnficiez dun
droit daccs et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce
droit et obtenir communication des informations vous concernant, veuillez vous adresser au
responsable du service juridique.






Intitul du diplme Spcialit
Diplmes n 1
Diplmes n 2
Diplmes n 3
Diplmes n 4
Diplmes n 5
16


IV. Conclusion


Lorsque une entreprise prend la dcision de crer une base de donnes dans laquelle ont y
retrouvera des donnes ayant un caractre personnel, il faudra imprativement en faire part la
Commission nationale de l'informatique et des Liberts (CNIL) par le biais d'une dclaration qui
peut tre ralis en ligne ou par crit.
La loi Informatique et Liberts du 6 janvier 1978, attribue des droits aux salaris sur leurs donnes
personnelles afin qu'ils puissent garder un contrle sur celles-ci.
Si une entreprise collecte des donnes considr comme sensibles par la CNIL et la loi du 6 janvier
1978 elle pour obligation de demander l'autorisation des personnes propritaires de ces donnes.
Enfin, toutes les formalits permettant de dclarer une base de donnes devront rpondre des
objectifs cohrents et prcis.